Une faille de sécurité béante a été découverte dans les véhicules Kia. En plus de cela, celle-ci concernait un très grand nombre de modèles distribués par le constructeur.
Automobile connectée rime forcément avec cybersécurité. Une récente découverte concernant les véhicules conçus par Kia vient le rappeler de manière assez spectaculaire. Des chercheurs en sécurité informatique ont mis au jour des vulnérabilités alarmantes dans presque tous les modèles Kia fabriqués après 2013, permettant potentiellement à des pirates de prendre le contrôle à distance de fonctions essentielles des véhicules. Même les plus récents comme la Kia EV3 ou la (très chère) Kia EV9 étaient donc concernés.
Ce n'est malheureusement pas la première fois que Kia est mise en avant de cette manière. L'année dernière, le « Kia Challenge » sur TikTok est devenu un phénomène mondial et concernait plusieurs millions de véhicules, en plus de ceux de chez Hyundai.
Une intrusion simplissime : le numéro de plaque suffisait
Les failles identifiées par les experts en cybersécu Neiko Rivera, Sam Curry, Justin Rhinehart et Ian Carroll, étaient d'une simplicité déconcertante à exploiter. En utilisant uniquement le numéro de plaque d'immatriculation, un attaquant pouvait, en moins de 30 secondes, s'octroyer un accès complet au véhicule ciblé. Plus inquiétant encore, cette manipulation fonctionnait même sur les voitures dépourvues d'un abonnement Kia Connect actif (service qui permet de connecter une Kia à un smartphone pour bénéficier de fonctionnalités supplémentaires).
Le processus d'intrusion reposait sur l'exploitation de l'infrastructure des concessionnaires Kia, notamment le site « kiaconnect.kdealer[.]com ». En quelques requêtes HTTP bien ciblées, il était possible de générer des tokens d'accès, puis d'obtenir les informations personnelles du propriétaire : nom, numéro de téléphone, adresse e-mail et même adresse physique. L'attaquant pouvait ensuite s'ajouter comme utilisateur « invisible » du véhicule, à l'insu total du propriétaire légitime.
Des conséquences potentiellement dramatiques
Cette vulnérabilité a rendu possibles des événements assez préoccupants. Un pirate malintentionné aurait pu, en théorie, localiser n'importe quel véhicule Kia vulnérable, le suivre à distance et même lui envoyer des commandes comme le déverrouillage des portes (voir vidéo ci-dessous), le démarrage du moteur ou l'activation du klaxon. Le tout sans laisser la moindre trace visible pour la victime, qui n'était nullement notifiée de ces intrusions dans son véhicule.
Il suffisait pour l'attaquant d'utiliser le numéro d'identification du véhicule (VIN), une sorte de code unique attribué à chaque voiture, pour interagir avec les systèmes backend de Kia à travers une interface de programmation d'applications (API).
Fort heureusement, ces vulnérabilités ont été signalées à Kia en juin 2024 et corrigées le 14 août de la même année. Officiellement, il n'existe aucune instance documentée d'exploitation de ces dernières. Comme l'ont judicieusement fait remarquer les chercheurs, « Les voitures, comme les réseaux sociaux, continueront à présenter des failles de sécurité. Tout comme Meta peut introduire une vulnérabilité dans Facebook permettant à des pirates de prendre le contrôle de comptes, les constructeurs automobiles peuvent aussi créer des failles dans leurs véhicules ». La question est donc de savoir quand, et non si, de nouvelles vulnérabilités seront découvertes à l'avenir.
Source : The Hacker News